応用情報技術者 2019年 秋期 午後 問01
標的型サイバー攻撃に関する次の記述を読んで、設問1、2に答えよ。
P社は、工場などで使用する制御機器の設計・開発・製造・販売を手掛ける、従業員数約50人の製造業である。P社では、顧客との連絡やファイルのやり取りに電子メール(以下、メールという)を利用している。従業員は一人1台のPCを貸与されており、メールの送受信にはPC上のメールクライアントソフトを使っている。メールの受信にはPOP3、メールの送信にはSMTPを使い、メールの受信だけに利用者IDとパスワードによる認証を行っている。PCはケーブル配線で社内LANに接続され、インターネットへのアクセスはファイアウォール(以下、FWという)でHTTP及びHTTPSによるアクセスだけを許可している。また、社内情報共有のためのポータルサイト用に、社内LAN上のWebサーバを利用している。P社のネットワーク構成の一部を図1に示す。社内LAN及びDMZ上の各機器には、固定のIPアドレスを割り当てている。
〔P社に届いた不審なメール〕
ある日、“添付ファイルがある不審な内容のメールを受信したがどうしたらよいか”との問合せが、複数の従業員から総務部の情報システム担当に寄せられた。P社に届いた不審なメール(以下、P社に届いた当該メールを、不審メールという)の文面を図2に示す。
情報システム担当のYさんが不審メールのヘッダを確認したところ、送信元メールアドレスのドメインはP社以外となっていた。また、総務部のX部長に確認したところ、そのようなメールは送信していないとのことであった。X部長は、不審メールの添付ファイルを実行しないように、全従業員に社内のポータルサイト、館内放送及び緊急連絡網で周知するとともに、Yさんに不審メールの調査を指示した。
Yさんが社内の各部署で聞き取り調査を行ったところ、設計部のZさんも不審メールを受信しており、添付ファイルを展開して実行してしまっていたことが分かった。Yさんは、Zさんが使用していたPC(以下、被疑PCという)のケーブルを①ネットワークから切り離し、P社のネットワーク運用を委託しているQ社に調査を依頼した。
Q社で被疑PCを調査した結果、不審なプロセスが稼働しており、インターネット上の特定のサーバと不審な通信を試みていたことが判明した。不審な通信はSSHを使っていたので、②特定のサーバとの通信には失敗していた。また、Q社はaのログを分析して、不審な通信が被疑PC以外には観測されていないので、被害はないと判断した。
Q社は、今回のインシデントはP社に対する標的型サイバー攻撃であったと判断し、調査の内容を取りまとめた調査レポートをYさんに提出した。
〔標的型サイバー攻撃対策の検討〕
Yさんからの報告とQ社の調査レポートを確認したX部長は、今回のインシデントの教訓を生かして、情報セキュリティ対策として、図1のP社の社内LANのネットワーク構成を変更せずに実施できる技術的対策の検討をQ社に依頼するよう、Yさんに指示した。Q社のW氏はYさんとともに、P社で実施済みの情報セキュリティ対策のうち、標的型サイバー攻撃に有効な技術的対策を確認し、表1にまとめた。
W氏は、表1の実施済みの情報セキュリティ対策を踏まえて、図1のP社の社内LANのネットワーク構成を変更せずに実施できる技術的対策の検討を進め、表2に示す標的型サイバー攻撃に有効な新たな情報セキュリティ対策案をYさんに示した。
W氏は、新たな情報セキュリティ対策案について、Yさんに次のように説明した。
Yさん:メールサーバに導入する送信ドメイン認証は、標的型サイバー攻撃にどのような効果がありますか。
W氏:送信ドメイン認証は、メールのcを検知することができます。導入すれば、今回の不審メールは検知できたと思います。
Yさん:メールサーバで送信する際に利用者認証を行う理由を教えてください。
W氏:標的型サイバー攻撃の目的が情報窃取だった場合、メール経由で情報が外部に漏えいするおそれがあります。利用者認証を行うことでそのようなリスクを低減できます。
Yさん:インターネットアクセス対策は、今回の不審な通信に対してどのような効果がありますか。
W氏:今回の不審な通信は特定のサーバとの通信に失敗していましたが、マルウェアが使用する通信プロトコルがdだった場合、サイバー攻撃の被害が拡大していたおそれがありました。その場合でも、表2に示したインターネットアクセス対策を導入することで防げる可能性が高まります。
Yさん:URLフィルタリング機能は、どのようなリスクへの対策ですか。
W氏:標的型サイバー攻撃はメール経由とは限りません。例えば、③水飲み場攻撃によってマルウェアをダウンロードさせられることがあります。URLフイルタリング機能を用いると、そのような被害を軽減できます。
Yさん:ログ監視対策の目的も教えてください。
W氏:表2に示したインターネットアクセス対策を導入した場合でも、高度な標的型サイバー攻撃が行われると、④こちらが講じた対策を回避してC&C(Command and Control)サーバと通されてしまうおそれがあります。その場合に行われる不審な通を検知するためにログ監視を行います。
W氏から説明を受けたYさんは、Q社から提案された新たな情報セキュリティ対策案を✕部長に報告した。報告を受けた✕部長は、各対策を導入する計画を立てるとともに、⑤不審なメールの適切な取扱いについて従業員に周知するように、Yさんに指示した。
設問1:〔P社に届いた不審なメール〕について、(1)〜(3)に答えよ。
(1)本⽂中の下線①で、Yさんが被疑PCをネットワークから切り離した目的を20字以内で述べよ。
模範解答
社内の他の機器と通信させないため
解説
解答の論理構成
- 感染の可能性確認
- 添付ファイルを「展開して実行してしまっていた」と明記されています。
引用:【問題文】「設計部のZさんも不審メールを受信しており、添付ファイルを展開して実行してしまっていた」
- 添付ファイルを「展開して実行してしまっていた」と明記されています。
- 被疑PCの危険性
- マルウェアが「インターネット上の特定のサーバと不審な通信を試みていた」ことが後に判明しています。
引用:【問題文】「不審なプロセスが稼働しており、インターネット上の特定のサーバと不審な通信を試みていた」
- マルウェアが「インターネット上の特定のサーバと不審な通信を試みていた」ことが後に判明しています。
- 即時隔離の目的
- 不審通信が行われているPCをLANに接続したままにすると、
(a) 外部へ情報を送信する恐れ
(b) 社内の他PCやサーバへ感染を広げる恐れ
の両方があるため、ネットワークから切り離すことが必要です。
- 不審通信が行われているPCをLANに接続したままにすると、
(a) 外部へ情報を送信する恐れ
- 以上より、①の目的は
「社内の他の機器と通信させないため」
となります。
誤りやすいポイント
- 「外部への情報漏えい防止」のみを書き、内部拡散防止に触れない。
- 「PCの電源を切るため」「証拠保全のため」など、切り離しの直接的な理由を外す。
- 感染が確定したと誤解し、「ウイルス駆除のため」など調査前提の説明を書く。
FAQ
Q: 電源を落とすのとネットワークを切り離すのはどちらが優先ですか。
A: まず通信を遮断して被害拡大を止めるのが先決です。その後、証拠保全を考えた電源操作を行います。
A: まず通信を遮断して被害拡大を止めるのが先決です。その後、証拠保全を考えた電源操作を行います。
Q: 物理的にLANケーブルを抜く以外にどんな隔離方法がありますか。
A: スイッチでポートをシャットダウンする、無線の場合はAP側で接続制限する方法がありますが、確実性を考えるとケーブルを抜くのが手早く確実です。
A: スイッチでポートをシャットダウンする、無線の場合はAP側で接続制限する方法がありますが、確実性を考えるとケーブルを抜くのが手早く確実です。
Q: 隔離後に実施すべきことは何ですか。
A: イメージ取得による証拠保全、マルウェア解析、ログ調査を行い、感染範囲の確認と復旧計画を立てます。
A: イメージ取得による証拠保全、マルウェア解析、ログ調査を行い、感染範囲の確認と復旧計画を立てます。
関連キーワード: ネットワーク隔離、マルウェア、感染拡大防止、不審通信、インシデント対応
設問1:〔P社に届いた不審なメール〕について、(1)〜(3)に答えよ。
(2)本文中の下線②で、不審なプロセスが特定のサーバとの通信に失敗した理由を20字以内で述べよ。
模範解答
FWでアクセスが許可されていないから
解説
解答の論理構成
- 不審なプロセスが用いた通信プロトコル
– 問題文には「“不審な通信はSSHを使っていた”」と明示されています。 - P社のファイアウォール設定
– 同じく問題文で「“インターネットへのアクセスはファイアウォール(以下、FWという)でHTTP及びHTTPSによるアクセスだけを許可している。”」と記述されています。 - 上記 1 と 2 の突き合わせ
– SSH は HTTP/HTTPS とは別ポート・別プロトコルです。
– 許可リストに含まれない通信は FW により遮断されます。 - 結論
– よって「不審なプロセスが特定のサーバとの通信に失敗した理由」は「FWでアクセスが許可されていないから」です。
誤りやすいポイント
- 「SSH サーバ側の障害」と勘違いしやすい。問題文は“FWの許可プロトコル制限”を先に示している点がヒントです。
- 「認証失敗」と答えるケースも散見されるが、SSH セッション確立以前の“ポートが閉じている”状況なので認証の問題ではありません。
- 「社内 LAN から遮断したから」と誤答する例もあるが、②はケーブルを抜く前に生じた事象です。
FAQ
Q: SSH が許可されていないとどうやって判定できますか?
A: 一般に FW のログに「拒否」「DROP」などのエントリが残ります。本問では Q 社が FW ログを調査したと読み取れます。
A: 一般に FW のログに「拒否」「DROP」などのエントリが残ります。本問では Q 社が FW ログを調査したと読み取れます。
Q: HTTP/HTTPS だけを許可する運用のメリットは?
A: 不要なポートを閉じることで未知の攻撃経路を減らし、マルウェアの外部通信やリモートシェル接続を阻止できます。
A: 不要なポートを閉じることで未知の攻撃経路を減らし、マルウェアの外部通信やリモートシェル接続を阻止できます。
Q: もしマルウェアが HTTPS トンネリングを使ったら?
A: FW だけでは検知困難な場合があります。インラインプロキシや IDS/IPS、ログ監視など多層防御が必要です。
A: FW だけでは検知困難な場合があります。インラインプロキシや IDS/IPS、ログ監視など多層防御が必要です。
関連キーワード: ファイアウォール、ポート制御、SSH, HTTP, 通信遮断
設問1:〔P社に届いた不審なメール〕について、(1)〜(3)に答えよ。
(3)本文中のaに入れる適切な字句を図1中の構成機器の名称で答えよ。
模範解答
a:FW
解説
解答の論理構成
- 【問題文】には
“インターネットへのアクセスはファイアウォール(以下、FWという)でHTTP及びHTTPSによるアクセスだけを許可している。”
とあり、SSH は許可されていません。 - したがって、被疑PCが試みた “不審な通信はSSHを使っていた”(同文)場合、通信は FW で遮断されます。
- 遮断/通過の可否を記録するログを保持しているのは FW であり、他の機器(メールサーバやWebサーバ)は SSH の通過・遮断を直接記録できません。
- これを踏まえて “Q社はaのログを分析して、不審な通信が被疑PC以外には観測されていない” という調査行為の対象は、SSH を遮断した機器=FW でなければ説明がつきません。
- よって a に入る機器名は
解答:FW
誤りやすいポイント
- ルータのログと混同する
ルータは経路情報を扱うのが主目的で、アプリケーション層ポートまで細かく遮断設定していないケースが多いです。SSH を拒否した事実を確実に残すのは FW 側です。 - メール関連機器と早合点する
設問直前に “不審な通信はSSHを使っていた” とあるため、メールサーバのログではなくネットワーク制御機器のログであることに注意が必要です。 - “FW=Firewall” を書き換えてしまう
指示文に “数字・固有名詞は必ず原文を正確に引用(改変禁止)” とあるので、略称 “FW” をそのまま書く必要があります。
FAQ
Q: ルータでもパケットログを取れるのでは?
A: 可能ですが、本問では “HTTP及びHTTPSだけを許可” というポリシ実装を担っている機器が FW と明示されており、SSH 遮断の証跡が最も確実に残るのは FW です。
A: 可能ですが、本問では “HTTP及びHTTPSだけを許可” というポリシ実装を担っている機器が FW と明示されており、SSH 遮断の証跡が最も確実に残るのは FW です。
Q: FW のログ分析だけで “被害はない” と判断してよいのですか?
A: 設問では “被疑PC以外には観測されていない” ことをもって被害範囲を限定しています。実務ではさらにエンドポイントログや IDS/IPS ログも併用するのが望ましいです。
A: 設問では “被疑PC以外には観測されていない” ことをもって被害範囲を限定しています。実務ではさらにエンドポイントログや IDS/IPS ログも併用するのが望ましいです。
Q: SSH 以外の未許可ポートも FW ログで確認できますか?
A: はい。FW ではポリシに反する通信は拒否・遮断し、その都度ログを生成する設定が一般的です。SSH 以外の 21/tcp, 23/tcp なども同様に確認できます。
A: はい。FW ではポリシに反する通信は拒否・遮断し、その都度ログを生成する設定が一般的です。SSH 以外の 21/tcp, 23/tcp なども同様に確認できます。
関連キーワード: ファイアウォール、SSH, ログ分析、ポート制御、通信遮断
設問2:〔標的型サイバー攻撃対策の検討〕について、(1)〜(5)に答えよ。
(1)表2中のbに入れる適切な字句を解答群の中から選び、記号で答えよ。
解答群
ア:OP25B
イ:PGP
ウ:SMIME
エ:SPF
模範解答
b:エ
解説
解答の論理構成
- 【問題文】の表2「メールサーバにおけるメール受信対策」で、
“・bなどの送信ドメイン認証を導入する。”
と明記されています。空欄は「送信ドメイン認証」の代表例を補う位置です。 - 送信ドメイン認証は、メールの Envelope From(SMTP MAIL FROM)や HELO/EHLO で申告されたドメインと、そのドメインの DNS 情報を突き合わせることで「ドメインなりすまし」を検知する仕組みです。代表的な方式は “SPF, DKIM, DMARC” などです。
- 解答群を照合すると、送信ドメイン認証方式に該当するのは
“エ:SPF” だけです。
・“ア:OP25B” は ISP が外向け 25/TCP をブロックする迷惑メール対策であり認証ではありません。
・“イ:PGP”、“ウ:SMIME” はメール本文や添付ファイルを利用者単位で暗号化・電子署名する技術であり、ドメイン認証ではありません。 - よって、b に入る適切な字句は “エ:SPF” となります。
誤りやすいポイント
- 「電子署名=認証」という連想で “イ:PGP” や “ウ:SMIME” を選ぶ誤答が多いです。これらはドメインではなく“利用者”を認証します。
- “ア:OP25B” は“Outbound Port 25 Blocking”の略で、送信ドメイン認証とは無関係です。
- “送信ドメイン認証” という語から DKIM/DMARC を思い出しても、選択肢に無い点を見落とすと迷います。選択肢を一つずつ機能で消去しましょう。
FAQ
Q: SPF はメールの本文改ざんも検知できますか?
A: いいえ、SPF が検証するのは SMTP レベルの送信元 IP とドメインの対応だけです。本文やヘッダの改ざん検知には DKIM や S/MIME などが必要です。
A: いいえ、SPF が検証するのは SMTP レベルの送信元 IP とドメインの対応だけです。本文やヘッダの改ざん検知には DKIM や S/MIME などが必要です。
Q: SPF を導入してもスパムやフィッシングが完全に無くなるわけではないのですか?
A: はい。SPF が防げるのは“ドメインなりすまし”の一部です。正規ドメインから送られる悪意メールや、転送経路で改ざんされたメールなどは別途対策が必要です。
A: はい。SPF が防げるのは“ドメインなりすまし”の一部です。正規ドメインから送られる悪意メールや、転送経路で改ざんされたメールなどは別途対策が必要です。
Q: 送信ドメイン認証を複数方式で実装するのは過剰ではありませんか?
A: SPF・DKIM・DMARC を組み合わせることで認証範囲と検知精度が向上します。表2の“など”は将来的な多層的導入を示唆しています。
A: SPF・DKIM・DMARC を組み合わせることで認証範囲と検知精度が向上します。表2の“など”は将来的な多層的導入を示唆しています。
関連キーワード: SPF, DNS, SMTP, フィッシング、ドメインなりすまし
設問2:〔標的型サイバー攻撃対策の検討〕について、(1)〜(5)に答えよ。
(2)本文中のc、dに入れる適切な字句を、それぞれ20字以内で答えよ。
模範解答
c:送信元メールアドレスのなりすまし
d:HTTP又はHTTPS
解説
解答の論理構成
- 標的型攻撃メールへの対策として W 氏は「送信ドメイン認証は、メールのcを検知することができます」と説明しています。送信ドメイン認証(SPF、DKIM、DMARC など)はドメインを偽装したメールを見分ける技術なので、ここに入るのは「送信元メールアドレスのなりすまし」と判断できます。
引用:「送信ドメイン認証は、メールのcを検知することができます。」 - 不審な通信は SSH だったため FW で遮断されましたが、W 氏は「マルウェアが使用する通信プロトコルがdだった場合、サイバー攻撃の被害が拡大していたおそれがありました」と説明しています。P 社の FW は HTTP と HTTPS だけを許可しています。つまり、許可されているプロトコルにマルウェアが紛れ込めば被害は広がるという文脈なので、ここには「HTTP又はHTTPS」が入ります。
引用:「PC からインターネットへのアクセスには、FW でHTTP及びHTTPSだけを許可し、それ以外は遮断する。」
誤りやすいポイント
- 送信ドメイン認証の効果を「差出人名の偽装」や「メール本文の改ざん検知」と誤解しやすいです。キーワードはあくまで「送信元メールアドレスのなりすまし」です。
- FW が遮断したのは SSH であり、HTTP/HTTPS は通ってしまう点を見落とすと d に「SSH」や「FTP」を書いてしまうミスにつながります。
- 「HTTPまたはHTTPS」「HTTP及びHTTPS」など表記を変えてしまうと減点対象です。問題文と同じ「HTTP又はHTTPS」を使う必要があります。
FAQ
Q: 送信ドメイン認証を導入しても完全にフィッシングメールを排除できますか。
A: 不正ドメインを判定する精度は向上しますが、正規ドメインが乗っ取られた場合などは通過する恐れがあります。多層防御が不可欠です。
A: 不正ドメインを判定する精度は向上しますが、正規ドメインが乗っ取られた場合などは通過する恐れがあります。多層防御が不可欠です。
Q: HTTP/HTTPS が許可されているだけでも危険なのはなぜですか。
A: 攻撃者は HTTPS ポートを使って C&C 通信を暗号化し、正規の Web アクセスと見分けにくくする手法を取るためです。
A: 攻撃者は HTTPS ポートを使って C&C 通信を暗号化し、正規の Web アクセスと見分けにくくする手法を取るためです。
Q: POP3 と SMTP に加えて IMAPS や SMTPS を使えば安全ですか。
A: 通信経路の暗号化という面では有効ですが、メール本文・添付の検査やドメイン認証とは別の対策になるため、組み合わせて導入することが望ましいです。
A: 通信経路の暗号化という面では有効ですが、メール本文・添付の検査やドメイン認証とは別の対策になるため、組み合わせて導入することが望ましいです。
関連キーワード: 送信ドメイン認証、プロキシサーバ、URLフィルタリング、ファイアウォール、C&C通信
設問2:〔標的型サイバー攻撃対策の検討〕について、(1)〜(5)に答えよ。
(3)本文中の下線③の水飲み場攻撃では、どこかにあらかじめ仕込んでおいたマルウェアをダウンロードするように仕向ける。マルウェアはどこに仕込まれる可能性が高いか、適切な内容を解答群の中から選び、記号で答えよ。
解答群
ア:P社従業員がよく利用するサイト
イ:P社従業員の利用が少ないサイト
ウ:P社のプロキシサーバ
エ:P社のメールサーバ
模範解答
ア
解説
解答の論理構成
-
【問題文】の引用
――「例えば、③水飲み場攻撃によってマルウェアをダウンロードさせられることがあります。」
水飲み場攻撃では、利用者が“普段からアクセスする Web サイト”を改ざんし、訪問した際にマルウェアを自動ダウンロードさせるのが典型的手口です。 -
論点整理
• “どこかにあらかじめ仕込んでおいたマルウェア”の置き場所は、攻撃者が「ターゲットが高頻度で訪れる場所」を選ぶほど成功確率が高まります。
• 改ざん対象はインターネット上の公開サイトであることが前提で、社内機器(プロキシサーバやメールサーバ)を狙う攻撃とは目的が異なります。 -
解答群との対応
ア:P社従業員がよく利用するサイト → ターゲット訪問率が高く、典型的。
イ:P社従業員の利用が少ないサイト → 成功率が低いため水飲み場攻撃向きではない。
ウ:P社のプロキシサーバ/エ:P社のメールサーバ
どちらも社内機器であり「外部公開サイトの改ざん」という水飲み場攻撃の定義に当てはまらない。 -
結論
よって、マルウェアが仕込まれる可能性が最も高いのは「ア:P社従業員がよく利用するサイト」である。
誤りやすいポイント
- 水飲み場攻撃=「社内の Web サーバ改ざん」と連想してしまう。実際はターゲットが日常的に訪問する“外部の Web サイト”を汚染する攻撃です。
- 「利用が少ないサイト」を選ぶと“標的型”というキーワードに引きずられる場合がありますが、成功率を考えるとターゲット行動の“頻度”が鍵になります。
- 社内メールサーバ/プロキシサーバは内部管理下にあり、外部改ざんとは趣旨が異なる点に注意しましょう。
FAQ
Q: 水飲み場攻撃とドライブバイダウンロードの違いはありますか?
A: どちらも改ざんサイト経由でマルウェアを配布しますが、水飲み場攻撃は「特定組織の利用率が高いサイト」を狙う点で“標的型”色が濃いとされています。
A: どちらも改ざんサイト経由でマルウェアを配布しますが、水飲み場攻撃は「特定組織の利用率が高いサイト」を狙う点で“標的型”色が濃いとされています。
Q: URLフィルタリング機能で水飲み場攻撃を完全に防げますか?
A: 改ざん直後はブラックリスト登録が間に合わない場合があるため“完全”ではありません。ただし侵害済みサイトを早期に遮断できるため、被害軽減策として有効です。
A: 改ざん直後はブラックリスト登録が間に合わない場合があるため“完全”ではありません。ただし侵害済みサイトを早期に遮断できるため、被害軽減策として有効です。
Q: 社内 Web サーバが改ざんされた場合は水飲み場攻撃になりますか?
A: 攻撃分類としては“サイト改ざん”ですが、訪問者が限定的であれば“社内向け水飲み場攻撃”と呼ばれるケースもあります。一般には外部サイトを狙うケースが多いです。
A: 攻撃分類としては“サイト改ざん”ですが、訪問者が限定的であれば“社内向け水飲み場攻撃”と呼ばれるケースもあります。一般には外部サイトを狙うケースが多いです。
関連キーワード: 水飲み場攻撃、改ざんサイト、URLフィルタリング、マルウェア、標的型攻撃
設問2:標的型サイバー攻撃対策の検討〕について、(1)〜(5)に答えよ。
(4)本文中の下線④で、C&CサーバがURLフィルタリング機能でアクセスが遮断されないサイトに設置された場合、マルウェアがどのような機能を備えていると対策を回避されてしまうか、適切な内容を解答群の中から選び、記号で答えよ。
解答群
ア:PC上のファイルを暗号化する機能
イ:感染後にしばらく潜伏してから攻撃を開始する機能
ウ:自身の亜種を作成する機能
エ:プロキシサーバの利用者認証情報を窃取する機能
模範解答
エ
解説
解答の論理構成
- URLフィルタリングでは遮断されない “正規サイト” に C&C サーバが置かれている場合、通信自体は proxy 経由で可能です。
――【問題文】「④こちらが講じた対策を回避してC&C(Command and Control)サーバと通されてしまうおそれ」 - ただし、表2のインターネットアクセス対策では proxy で「利用者IDとパスワードによる利用者認証」を行います。
――【問題文】「プロキシサーバでは、利用者IDとパスワードによる利用者認証を導入する。」 - したがって、マルウェアが proxy を通過して C&C と通信するためには、利用者認証を突破する必要があります。
- 解答群で “利用者認証を突破できる” 機能は「エ:プロキシサーバの利用者認証情報を窃取する機能」のみです。
- よって、マルウェアがこの機能を備えていれば「④こちらが講じた対策を回避」し、C&C 通信が成立し得る。
結論:解答は「エ」。
誤りやすいポイント
- 「イ:感染後にしばらく潜伏…」を選んでしまう
→ 潜伏期間は検知を遅らせる効果ですが、proxy 認証を回避する説明になっていません。 - URL フィルタリング=万能と誤解
→ 許可サイト内に C&C サーバが設置される “正規サイト悪用型” では URL フィルタリングだけでは防げません。 - “SSH が遮断された” 事実と混同
→ 本設問は「HTTP/HTTPS 経由で成功する可能性」を想定しています。SSH の可否は無関係です。
FAQ
Q: 認証付き proxy を導入するだけで十分ではないのですか?
A: 認証情報が窃取されるとマルウェア自身が正規利用者になりすまして通信できます。多要素認証や端末証明書併用で強化するとより安全です。
A: 認証情報が窃取されるとマルウェア自身が正規利用者になりすまして通信できます。多要素認証や端末証明書併用で強化するとより安全です。
Q: URL フィルタリングとブラックリスト型の違いは?
A: URL フィルタリングはカテゴライズ情報や評価エンジンを用いて “不正サイト・改ざんサイト” をブロックしますが、ブラックリストは既知の悪性ドメイン/IP のみを遮断します。前者の方が未知サイトにも一定の効果があります。
A: URL フィルタリングはカテゴライズ情報や評価エンジンを用いて “不正サイト・改ざんサイト” をブロックしますが、ブラックリストは既知の悪性ドメイン/IP のみを遮断します。前者の方が未知サイトにも一定の効果があります。
Q: C&C サーバ通信を監視する方法は?
A: proxy や FW のログを SIEM に連携し、異常な転送量・国別アクセス・利用時間帯を相関分析する手法が一般的です。
A: proxy や FW のログを SIEM に連携し、異常な転送量・国別アクセス・利用時間帯を相関分析する手法が一般的です。
関連キーワード: プロキシ認証、C&C通信、URLフィルタリング、認証情報窃取
設問2:標的型サイバー攻撃対策の検討〕について、(1)〜(5)に答えよ。
(5)本文中の下線⑤で、P社従業員が不審なメールに気付いた場合、不審なメールに添付されているファイルを展開したり実行したりすることなくとるべき行動として、適切な内容を解答群の中から選び、記号で答えよ。
解答群
ア:PCのメールクライアントソフトを再インストールする。
イ:不審なメールが届いたことをP社の情報システム担当に連絡する。
ウ:不審なメールの本文と添付ファイルをPCに保存する。
エ:不審なメールの本文に書かれているURLにアクセスして真偽を確認する。
模範解答
イ
解説
解答の論理構成
-
まず本文では、不審メールを受け取った従業員が取った行動として、 “「添付ファイルがある不審な内容のメールを受信したがどうしたらよいか」との問合せが、複数の従業員から総務部の情報システム担当に寄せられた”
と明記されています。つまり、従業員は専門部署へ連絡することが正しい行動として描かれています。 -
さらに、X部長は⑤不審なメールの適切な取扱いについて従業員に周知するよう指示しています。適切な取扱いとは「勝手に操作せず専門部署へ報告する」ことを指します。
-
解答群を照合すると、 ア:メールクライアント再インストール → 原因調査にもならず根本対策ではない
イ:不審なメールが届いたことをP社の情報システム担当に連絡する → 上記本文と一致
ウ:本文・添付の保存 → 感染拡大や証拠改ざんのリスク
エ:URLへアクセス → 攻撃者の思惑通り
よって最も適切なのは「イ」です。
誤りやすいポイント
- “証拠保全のため保存する”と考えて「ウ」を選択しがちですが、エンドユーザが保存操作を行うとマルウェアの自動実行を誘発する危険があります。
- 「削除して終わり」や「再インストールしてリセット」と短絡的に考えると、組織的インシデント対応フローを無視することになります。
- URLを自分で確認しようとする自主判断は、水飲み場攻撃など二次感染を招く典型例です。
FAQ
Q: 連絡後、メールは削除してもよいですか?
A: 基本は情報システム担当の指示に従います。証拠保存が必要な場合もあるため、自分で削除せず指示を待つのが安全です。
A: 基本は情報システム担当の指示に従います。証拠保存が必要な場合もあるため、自分で削除せず指示を待つのが安全です。
Q: 受信直後にネットワークを切断すべきですか?
A: 切断が必要かは感染の有無や業務影響を勘案して専門部署が判断します。まずは速やかに報告し、指示を仰ぐことが優先です。
A: 切断が必要かは感染の有無や業務影響を勘案して専門部署が判断します。まずは速やかに報告し、指示を仰ぐことが優先です。
Q: 件名や差出人だけで判断しても良い?
A: 送信ドメイン認証をすり抜ける偽装もあります。怪しいと感じたら自己判断せず、必ず情報システム担当へ報告してください。
A: 送信ドメイン認証をすり抜ける偽装もあります。怪しいと感じたら自己判断せず、必ず情報システム担当へ報告してください。
関連キーワード: 標的型攻撃、インシデント対応、マルウェア、送信ドメイン認証、URLフィルタリング
